Anzeige

Anzeige

VERANSTALTUNGEN

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

Software Quality Days 2020
14.01.20 - 17.01.20
In Wien, Hotel Savoyen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

Anzeige

Anzeige

Security Baum

PKI-Administratoren stehen durch die zunehmende Notwendigkeit mehr Netzwerkverkehr zu verschlüsseln unter starkem Druck die Sicherheit zu verbessern. In den meisten Unternehmen verwalten sehr kleine PKI-Experten-Teams Tausende von TLS-Schlüsseln und -Zertifikaten, sogenannte Maschinenidentitäten. 

Kleine Fehler können verheerende Folgen haben. Die richtige Technologie ist deshalb notwendig, um Änderungen, die sich auf kritische Sicherheitsressourcen auswirken, von Administratoren nachvollziehbar zu machen.

„Sie können sich nicht in der Cloud bewegen, Kubernetes nutzen, IoT-Netzwerke und mehr bereitstellen, ohne PKI zu verwenden; für die meisten IT-Profis sind Maschinenidentitäten jedoch eine dunkle Kunst mit wenigen Meistern“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „CISOs können IAM-Programme nicht dem Zufall überlassen, daher muss PKI sicher betrieben werden. Letztendlich sollte PKI die Grundlage für robuste Programme zum Schutz der Maschinenidentität bilden; Unternehmen nutzen sie, um den Datenfluss zu vertrauenswürdigen Maschinen zu identifizieren und zu autorisieren.“

Laut Bocek gibt es vier häufige Fehler, die Unternehmen machen und damit Sicherheitsrisiken erhöhen oder die Zuverlässigkeit sowie Verfügbarkeit geschäftskritischer Netzwerkressourcen negativ beeinflussen. Zu diesen gehören:

 1. Unternehmen sollten interne und mittlere private Zertifizierungsstellen vergessen.

Wenn die Root-Signatur der Zwischenzertifizierungsstelle (CA) eines Unternehmens aus irgendeinem Grund offline geht, müssen Administratoren wissen, wo sie sich befindet. Es gibt Fälle, in denen Unternehmen eine Root-CA auf einer virtuellen Maschine eingerichtet haben und diese dann in den Ruhezustand versetzen konnten. Wenn IT-Ops-Teams die ruhenden virtuellen Maschinen aufräumen, deaktivieren sie versehentlich die gesamte PKI. Dies ist der Fall, da sie die virtuelle Maschine löschen, in der sich die vergessene Root- oder Zwischen-CA befand. Ohne die richtige Technologie könnte es Monate dauern, bis dieser Fehler behoben ist.

 2. Nicht-Erlöschen von Zertifikaten und Entfernen von Schlüsseln

Anwendungseigner und Systemadministratoren, die nicht mit Zertifikaten arbeiten, versuchen häufig, solche an der falschen Stelle zu installieren, Fehler in Anfragen zu machen oder zu vergessen und nicht benötigte oder nicht verwendete Zertifikate zu entfernen. Diese unnötigen Zertifikate dürfen nicht widerrufen werden und die entsprechenden Schlüssel werden nie entfernt. In einigen Unternehmen sind Tausende von unnötigen Maschinenidentitäten auf Hunderten von Servern verstreut. Dies bietet schlechten Akteuren viele Möglichkeiten, die legitimen Zertifikate zu finden und zu missbrauchen.

3. Kontinuierliche Verlängerung der Gültigkeitsdauer von Zertifikaten

Die manuelle Verwaltung von Zertifikaten kann sowohl zeit- als auch ressourcenintensiv sein, insbesondere wenn Unternehmen Tabellenkalkulationen, interne Skripte oder CA-Dashboards mit eingeschränkter Funktionalität verwenden. Es kann verlockend sein, dieses Problem durch eine Verlängerung der Gültigkeitsdauer von Zertifikaten zu reduzieren. Die Technik kann Unternehmen zwar kurzfristig einige Zeit sparen, erhöht aber auch das Sicherheitsrisiko in erheblich. Eine längere Zertifikats-Lebensdauer gibt Angreifern mehr Zeit, die privaten Schlüssel ins Visier zu nehmen.

4. Keine Verfolgung von Wildcard-Zertifikaten

Wildcart-Zertifikate sind so einfach zu verwenden, dass sie oft wahllos eingesetzt werden; viele Unternehmen verfolgen sie nicht einmal. Wenn PKI-Administratoren nicht wissen, auf welchen Rechnern Wildcard-Zertifikate verwendet werden, ist es fast unmöglich, jede Instanz zu erneuern, bevor sie abläuft. Wenn dies geschieht hört jede Maschine, auf der sie installiert wurde, gleichzeitig auf zu kommunizieren. Diese Eventualität kann den Betrieb stören und erfordert umfangreiche Ressourcen, um jede Installation zu verfolgen und neue Zertifikate neu zu installieren.

„Es ist allzu einfach, häufige PKI-Fehler zu machen, die schwerwiegende Folgen für Unternehmen haben können“, schließt Bocek ab. „Indem sie einige der Dinge hervorheben, die schrecklich schief gehen können, können mehr PKI-Administratoren die oben beschriebenen Alpträume vermeiden. Der beste Weg, alle größeren Fehler bei PKI zu beseitigen, ist der Aufbau eines Programms zum Schutz der Maschinenidentität. Es sollte Transparenz, Intelligenz und Automatisierung bieten, um Sicherheitsrisiken zu reduzieren und die Zuverlässigkeit und Verfügbarkeit zu erhöhen.“

www.venafi.com

GRID LIST
Nur für Mitglieder

Kontrollierter Zugang zu sensiblen Daten

Systemadministratoren schaffen mit ihren privilegierten Accounts ein hohes…
Tb W190 H80 Crop Int E0dc3f20177fb486b6a07cedf0a8a9b0

Einloggen, statt Hacken: Missbrauch privilegierter Konten

Für Cyberkriminelle ist der Missbrauch kompromittierter Anmeldedaten heute eine der…
Aaron Cockerill

Kommt die passwortfreie Zukunft?

Aaron Cockerill, Chief Strategy Officer, Lookout, im Interview mit it security über den…
Security Schloss

Sicheres Identitätsmanagement in Unternehmen

Ein starkes Identity- und Access-Management (IAM) wird zum Standard in Unternehmen, die…
Mobile Access

In der Zutrittskontrolle beginnt das Mobile-Access-Zeitalter

HID Global sieht eine deutlich steigende Nachfrage nach Mobile-Access-Lösungen. Sie…
Biometrie

Der traditionelle Identitätsnachweis ist tot

Betrug hat viele Gesichter. Ob am Telefon, im Internet oder an der Ladentheke. Mit dem…